Requisitos contratación encargados tratamiento

Como sabemos y según lo define el artículo 4.8) RGPD, el encargado de tratamiento es:

 

La persona física o jurídica, autoridad pública, servicio u otro organismo que trate datos personales por cuenta del responsable del tratamiento.

 

Ejemplos: el asesor fiscal que lleva la contabilidad e impuestos de una empresa y tiene que acceder a los datos personales que hay en sus facturas; o el asesor laboral que lleva las nóminas de una empresa y tiene que acceder a los datos de los trabajadores.

 

Pues bien, en aplicación de esta normativa, no se puede contratar a cualquier encargado de tratamiento, porque el artículo 28.1 del RGPD deja muy claro que el responsable de tratamiento que contrate a un encargado de tratamiento está obligado a elegir únicamente a aquellos que garanticen de suficientemente la aplicación de medidas técnicas y organizativas apropiadas, de forma que el tratamiento se ajuste al RGPD y garantice la protección de los derechos del interesado.

 

Sin embargo, nada explica el RGPD sobre cómo se pueden obtener esas garantías, más allá de la posibilidad (voluntaria, ojo) de que el encargado de tratamiento esté adherido a un código de conducta o tenga una certificación.

 

En mi opinión, fuera de estos casos, al menos habría que demostrar que se ha requerido (y que el encargado ha aportado) los siguientes documentos:

 

– Su catálogo de medidas de seguridad.

 

– Su registro de actividades de tratamiento, cuando proceda.

 

– Los datos de contacto de su Delegado de Protección de Datos y la comunicación oficial de nombramiento cuando proceda (que podrá comprobarse en el correspondiente registro de la Agencia Española de Protección de Datos).

 

¿Y se le podría pedir incluso el análisis de riesgos y/o evaluación de impacto? En principio sí. Cuestión distinta es que el encargado de tratamiento lo considere un documento más o menos confidencial.

Registro Actividades y AEPD

Cómo hacer un registro de actividades

En fecha reciente, la Agencia Española de Protección de Datos, publicaba una noticia titulada NUEVA FUNCIONALIDAD DEL SERVICIO DE SOLICITUD DE COPIA DE LA INSCRIPCIÓN DE FICHEROS, que se puede leer completa aquí:

http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2017/notas_prensa/news/2017_11_21-ides-idphp.php

Se trata de que accediendo a la sección indicada, los responsables de tratamiento puedan descargar en formato digital un contenido que puede servir de base para confeccionar el Registro de actividades exigido en el artículo 30 del Reglamento General de Protección de Datos europeo.

Eso sí, no se debe olvidar que este Registro no será obligatorio para ninguna empresa ni organización que emplee a menos de 250 personas, a menos que el tratamiento que realice pueda entrañar un riesgo para los derechos y libertades de los interesados, no sea ocasional, o incluya categorías especiales de datos personales indicadas en el artículo 9, apartado 1, o datos personales relativos a condenas e infracciones penales a que se refiere el artículo 10.

El Registro de actividades viene a sustituir a la obligación de notificar los ficheros al Registro de la Agencia Española de Protección de Datos, de modo que a partir de finales de mayo de 2018 la obligación de notificación dejará de existir, pero será necesario confeccionar este Registro o inventario de tratamientos de datos.

El Registro no hace falta que se publique ni se envíe a ningún organismo, pero tendrá que estar a disposición de la Agencia Española de Protección de Datos u organismo equivalente que lo solicite. No obstante, las administraciones públicas sí que tienen que publicarlo, siendo accesible por medios electrónicos (en su web, por ejemplo).

La obligación incumbe –con la expeción antes mencionada- tanto a responsables de fichero como a encargados de tratamiento.

En la web de la Agencia, lo que se puede descargar es un Excel o XML con el contenido completo de las inscripciones efectuadas.

La herramienta de la Agencia FACILITA, de la que ya hemos hablado en otra ocasión, genera –entre otros documentos- la estructura y contenido del registro de actividades, por lo que puede servir de guía, al menos para entidades que no presentan riesgos en materia de tratamiento de datos de carácter personal.

Transferencias internacionales de datos

Transferencia internacional datos

¿Conlleva alguna modificación el Reglamento General de Protección de Datos europeo en lo que a transferencias internacionales de datos de carácter personal se refiere?

La respuesta es sí y no.

No, porque mantiene los mismos criterios generales que ya se contenían en la LOPD y su Reglamento de desarrolla.

Sí, porque introduce cambios en todo el régimen de transferencias internacionales.

La norma general sigue siendo que sólo cabe transmitir datos a países, territorios, sectores u organismos internacionales que se considera que cuentan con un nivel adecuado de protección, o bien cuando se aporten garantías suficientes o se den algunas de las circunstancias previstas como excepciones, y siempre y cuando se observen los demás requisitos del RGPD.

Estos son algunos de los cambios introducidos:

  • El exportador de datos ya puede ser también un encargado de tratamiento y no sólo un responsable de tratamiento.
  • Se amplía el número de instrumentos para incluir y aportar las medidas de garantía adecuadas para proteger los derechos de los afectados por las transferencias internacionales (Códigos de Conducta, Certificaciones, Normas Corporativas Vinculantes).
  • Se suprime la obligación de solicitar autorización previa o notificar la transferencia internacional a la autoridad de control, en la mayoría de los casos.

En definitiva, se pretende facilitar las relaciones comerciales internacionales, pero –por supuesto- garantizado la protección de los derechos de las personas.